•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
Microsoft выпустила январские обновления безопасности

Microsoft выпустила январские обновления безопасности

В январе компания Microsoft выпустила первые в новом году обновления безопасности, закрывающие 83 уязвимости, 10 из которых классифицированы как Критические. В данной статье я расскажу о самых главных моментах этого выпуска.

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.. 
logo.jpg РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:
Microsoft ESD 
электронные ключи на программные продукты Microsoft, использование без ограничений срока. Подробнее>>
Microsoft CSP 
доступ к услуге цифрового сервиса, подписки от 1 года до 6 лет. Подробнее>>
Microsoft серверные подписки 
доступ к услуге цифрового сервиса, подписки от 1 года до 3 лет. Подробнее>>
Microsoft FPP 
коробочные версии, 25-тизначный ключ для установки продукта (Product Key) размещен на наклейке внутри коробки. Подробнее>>
Microsoft Первая Помощь" для образовательных учреждений 
специальные цены для учреждений начального и среднего образования на использование в период календарного года. Подробнее>>

Купить доступ к услуге цифрового сервиса Microsoft 365

Общий взгляд
Сводная информация по количеству и типу уязвимостей в соответствующих продуктах приведена на графике ниже:

Сводная информация по количеству и типу уязвимостей закртых в январе 21

Представляем новую версию нашего портала
С этого месяца мы перешли на использование новой версии портала Security Updates Guide (SUG), доступной по адресу aka.ms/sug. Подробности можно прочитать в нашем блоге.

Скриншот новой версии портала Security Updates Guide

По многочисленным просьбам была добавлена темная тема оформления. 

Скриншот темная тема оформления портала обновлений безопасности

Также была переработана структура описания уязвимостей и теперь она полностью выверена с атрибутами системы оценки уязвимостей CVSS. Подробности можно прочитать в нашем блоге.

Скриншот веб-страницы с новой структурой описания уязвимостей

Нам очень интересно узнать ваше мнение о новом портале Security Updates Guide, поэтому мы призываем вас поделиться обратной связью о работе портала через эту форму.

Обратите внимание
На следующие уязвимости и обновления безопасности следует обратить особое внимание:

Windows

CVE-2021-1674 Windows Remote Desktop Protocol Core Security Feature Bypass Vulnerability
Impact Security Feature Bypass
Severity Important
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 8.8
Attack Vector Network
Attack Complexity Low
Privileges Required Low
User Interaction None
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software - All supported versions of Windows
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1674

CVE-2021-1673 Remote Procedure Call Runtime Remote Code Execution Vulnerability
Impact Remote Code Execution
Severity Critical
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 8.8
Attack Vector Network
Attack Complexity Low
Privileges Required Low
User Interaction None
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software All supported versions of Windows
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1673

CVE-2021-1643 HEVC Video Extensions Remote Code Execution Vulnerability
Impact Remote Code Execution
Severity Critical
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 7.8
Attack Vector Local
Attack Complexity Low
Privileges Required None
User Interaction Required
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software HEVC Video Extensions
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1643

CVE-2021-1648 Microsoft splwow64 Elevation of Privilege Vulnerability
Impact Elevation of Privilege
Severity Important
Publicly Disclosed? Yes
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 7.8
Attack Vector Local
Attack Complexity Low
Privileges Required Low
User Interaction None
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software All supported versions of Windows
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1648

CVE-2021-1665 GDI+ Remote Code Execution Vulnerability
Impact Remote Code Execution
Severity Critical
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 7.8
Attack Vector Local
Attack Complexity Low
Privileges Required Low
User Interaction None
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software All supported versions of Windows
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1665

Microsoft Browsers

CVE-2021-1705 Microsoft Edge (HTML-based) Memory Corruption Vulnerability
Impact Remote Code Execution
Severity Critical
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 4.2
Attack Vector Network
Attack Complexity High
Privileges Required None
User Interaction Required
Scope Unchanged
Confidentiality Low
Integrity Low
Availability None
Affected Software Microsoft Edge (EdgeHTML-based)
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1705

Microsoft Office

CVE-2021-1715 Microsoft Word Remote Code Execution Vulnerability
Impact Remote Code Execution
Severity Important
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 7.8
Attack Vector Local
Attack Complexity Low
Privileges Required None
User Interaction Required
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software Microsoft Excel 365 Apps for Enterprise, Word 2010, Word 2013, Word 2016, Office 2010, Office 2019, Office 2019 for Mac, Office Online Server, Office Web Apps 2010, Office Web Apps Server 2013, Office SharePoint Enterprise Server 2013, SharePoint Enterprise Server 2016, SharePoint Server 2010, and SharePoint Server 2019
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1715

CVE-2021-1714 Microsoft Excel Remote Code Execution Vulnerability
Impact Remote Code Execution
Severity Important
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 7.8
Attack Vector Local
Attack Complexity Low
Privileges Required None
User Interaction Required
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software Microsoft Excel 365 Apps for Enterprise, Excel Services, Excel 2010, Excel 2013, Excel 2016, Office 2010, Office 2013, Office 2016, Office 2019, Office 2019 for Mac, Office Online Server, Office Web Apps Server 2013, and Office SharePoint Enterprise Server 2013.
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1714

Microsoft SharePoint Server

CVE-2021-1707 Microsoft SharePoint Server Remote Code Execution Vulnerability
Impact Remote Code Execution
Severity Important
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation more likely
CVSS Base Score 8.8
Attack Vector Network
Attack Complexity Low
Privileges Required Low
User Interaction None
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software Microsoft SharePoint Foundation 2013, SharePoint Foundation 2010, SharePoint Server 2019, and SharePoint Enterprise Server 2016
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1707

Microsoft SQL Server

CVE-2021-1636 Microsoft SQL Elevation of Privilege Vulnerability
Impact Elevation of Privilege
Severity Important
Publicly Disclosed? No
Known Exploits? No
Exploitability Exploitation less likely
CVSS Base Score 8.8
Attack Vector Network
Attack Complexity Low
Privileges Required Low
User Interaction None
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software Microsoft SQL Server 2012, SQL Server 2014, SQL Server 2016, SQL Server 2017, and SQL Server 2019
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1636

Microsoft Defender

CVE-2021-1647 Microsoft Defender Remote Code Execution Vulnerability
Impact Remote Code Execution
Severity Critical
Publicly Disclosed? No
Known Exploits? Yes
Exploitability Exploitation detected
CVSS Base Score 7.8
Attack Vector Local
Attack Complexity Low
Privileges Required Low
User Interaction None
Scope Unchanged
Confidentiality High
Integrity High
Availability High
Affected Software Microsoft Security Essentials, System Center 2012 R2, System Center Endpoint Protection, Windows Defender
More Information https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1647
 

Рекомендации по безопасности
ADV990001 – Latest Servicing Stack Updates (SSU)

Обновления SSU были выпущены для следующих версий Windows:

-Windows 10 1809/Server 2019
-Windows 10 1909/Windows Server, version 1909
-Windows 10 2004/Windows Server, version 2004
-Windows 10 20H2/Windows Server, version 20H2
О важных изменениях в жизненном цикле обновлений SSU и объединении в единый накопительный пакет обновлений вы можете прочитать в нашем блоге.

О том, как установить сразу и SSU, и обновления безопасности ОС в одном накопительном пакете, автоматически, соблюдая правильную последовательность, читайте в нашем блоге.

Окончание поддержки
В январе заканчивается поддержка следующих продуктов:

-Microsoft BizTalk Server 2010
Все подробности – на нашем портале aka.ms/lifecycle.

Внимание!

В декабре закончилась поддержка Adobe Flash Player. Подробности в нашем блоге.

Возможные проблемы
Полный список статей базы знаний для соответствующих пакетов обновлений, с которыми связаны потенциальные проблемы при установке, приведен в заметках к выпуску.

Дополнительная информация
Самую полную и актуальную информацию об уязвимостях и обновлениях безопасности вы можете найти на нашем портале Security Update Guide.

Запись вебинара с разбором этого выпуска
Вы также можете посмотреть запись нашего ежемесячного вебинара «Брифинг по безопасности», посвященного подробному разбору текущего выпуска обновлений и бюллетеней безопасности компании Microsoft.

А для того чтобы быть в курсе самых актуальных новостей информационной безопасности Microsoft, подписывайтесь на канал https://aka.ms/artsin.

Помните, почти 90% всех уязвимостей уже имели патчи от производителей на момент обнародования*, и своевременно обновляйте ваши системы.

Артём Синицын CISSP, CCSP, MCSE, Certified Azure Security Engineer

старший руководитель программ информационной безопасности Microsoft

в странах Центральной и Восточной Европы
Материал подготовлен  Microsoft 

Купить Microsoft Первая Помощь для образовательных учреждений

logo.jpg ССЫЛКА ПО ТЕМЕ: Каталог программного обеспечения Microsoft для бизнеса 
Переход в он-лайн магазин Датасиcтем - официального Поставщика Microsoft в Российской Федерации. Перейти на сайт Поставщика>>

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.